Investigadores de ciberseguridad han descubierto una extensión maliciosa de Chrome que se hace suceder por una billetera Ethereum legítima pero alberga una funcionalidad para filtrar las frases iniciales de los usuarios.
El nombre de la extensión es “Safery: Ethereum Wallet”, y el actor de amenazas la describe como una “billetera segura para llevar la batuta la criptomoneda Ethereum con configuraciones flexibles”. Se subió a Chrome Web Store el 29 de septiembre de 2025 y se actualizó el 12 de noviembre. Todavía está habitable para descargar al momento de escribir este artículo.
“Comercializado como una billetera Ethereum (ETH) simple y segura, contiene una puerta trasera que filtra frases iniciales codificándolas en direcciones Sui y transmitiendo microtransacciones desde una billetera Sui controlada por un actor de amenazas”, dijo el investigador de seguridad de Socket, Kirill Boychenko.
Específicamente, el malware presente en el complemento del navegador está diseñado para robar frases mnemotécnicas de billetera codificándolas como direcciones de billetera Sui falsas y luego usando microtransacciones para destinar 0.000001 SUI a esas billeteras desde una billetera codificada controlada por un actor de amenazas.
El objetivo final del malware es introducir de contrabando la frase original adentro de transacciones blockchain de apariencia ordinario sin la aprieto de configurar un servidor de comando y control (C2) para aceptar la información. Una vez que se completan las transacciones, el actor de la amenaza puede decodificar las direcciones del destinatario para recobrar la frase original flamante y, en última instancia, extraer activos de ella.
“Esta extensión roba frases iniciales de billetera codificándolas como direcciones Sui falsas y enviándoles microtransacciones desde una billetera controlada por el atacante, lo que le permite monitorear la esclavitud de bloques, decodificar las direcciones en frases iniciales y drenar los fondos de las víctimas”, señala Koi Security en un prospección.
Para contrarrestar el aventura que representa la amenaza, se recomienda a los usuarios que utilicen extensiones de billetera confiables. Se recomienda a los defensores escanear extensiones en búsqueda de codificadores mnemotécnicos, generadores de direcciones sintéticas y frases iniciales codificadas, así como encerrar aquellas que escriben en la esclavitud durante la importación o creación de billetera.
“Esta técnica permite a los actores de amenazas cambiar cadenas y puntos finales RPC con poco esfuerzo, por lo que las detecciones que dependen de dominios, URL o ID de extensión específicas no la pasarán por stop”, afirmó Boychenko. “Trate las llamadas RPC inesperadas de blockchain desde el navegador como una señal reincorporación, especialmente cuando el producto afirma ser de esclavitud única”.
